1. 您能谈谈关于业务价值的更多内容吗?了解风险以及企业内部需要发生什么变化,以及这如何影响CISO的角色?
J Wolfgang Goerlich:从历史上看,我们保护的是基于技术理解的。但是我们都知道,组织通过向员工提供可用的技术来谋生,这意味着在安全方面需要进行权衡,通常会减少安全控制。在我们这个行业的许多人看来,这是一个无法调和的矛盾。要么是可保护的,要么是可用的。但是,如果你不把安全看作是“我想阻止这个特定的可利用漏洞发生”,而是把安全看作是“我想要防止这个特定的可利用漏洞发生,但你认为安全是指“我想要使业务能够运转,也就是说,我想要防范对业务流程造成实质影响的威胁"。突然之间,我们的谈话范围大大扩展了。我们不再需要锁定每一个端口。我们可以更多地关注打开有意义的端口,并具备良好的响应和恢复能力。这导致了我们今天所说的韧性。我将接受一定程度的风险,并通过快速响应和拥有多个冗余可靠系统来平衡这种风险。许多CISO在2010年至2020年之间经历的观念转变,实际上是从试图保护技术转向保护业务。
2. 当您谈论这种转变时,在那段时间里,CISO在组织领导层的整体认知是否发生了相应的变化?
J Wolfgang Goerlich:有趣的是,在过去的10年里,这个对话已经从“我们需要在会议桌上有一个位置,我们需要与董事会交谈。我们如何与董事会交谈,那会是什么样子?”然后我们经历了一段时间,CISO们想知道,“什么是正确的幻灯片模板,以说服董事会或执行团队采取行动?什么是正确的颜色?什么是正确的数字?”随着我们的成熟,我们认识到,问题不在于颜色。问题不在于数字。问题在于关系。问题在于我们如何构建故事。问题在于我们如何引导我们的组织。我们可以在诸如Cyentia的安全成果研究中看到这一点的反映。我提到我最初是从业务连续性和灾难恢复(BCDR)的角度出发的。所以当我看到那些拥有非常好的BCDR的人,他们与同行和高管建立强烈关系的可能性是其他人的两到三倍时,我的旧的确认偏见开始起作用,我的心变得温暖。如果你能谈论业务和业务关心的事情?如果你能谈论它意味着什么?当然,你会有更好的关系,这个安全成果研究的数据非常有道理。然而,Cyentia接着对事件响应提出了同样的问题,并发现与高管关系和同行关系有很强的相关性。然后我们又重复了SASE、零信任和端点检测与响应。在某个时候,我不得不停下来,我想,“等一下,没有什么方式能让端点代理让CISO与高管和同行进行更好的对话。”我相信正在发生的是,精明的高管拥有并建立了很好的关系。精明的高管讲述以数据为基础的故事,这些故事导致了行动。他们不关注什么是正确的数字,什么是正确的颜色。精明的网络安全高管通过关系和沟通,建立了强大的安全计划。悲哀的现实是,我们在安全文化方面的解决方案往往只是教人们不要点击电子邮件。为什么?因为这是一种简单的测试方法。对于导致Log4j漏洞的供应商的行为,我很难进行测试,尤其是当这个供应商与我们相隔三个环节时。
3. 所以很多问题归结为关系和联系。
J Wolfgang Goerlich:是的,绝对是这样。随着CISO社区从加强技术防护到保护企业的过程中,我们在正确关系方面进行了很多讨论。我们在会议上仍在争论CISO应该向谁汇报。我们还在讨论CISO应该告诉董事会什么。但是你总是可以从问题中看出某人在这个过程中的位置,比如“我应该如何与董事会交流?我应该告诉董事会什么?董事会如何教育我?”当你问到“我从董事会和我们的互动中学到了什么”时,你就知道你正在与一个正在建立关系、成为经验丰富的高级管理人员的CISO交谈。 我们见证了我们这个领域在与高管和董事会互动方面的能力和素质的不断提高。我们在汇报问题上进行了反复讨论。我们在团队结构方面进行了争论。因此,随着我们对业务的理解不断加深,业务对网络安全的理解也在不断加深。 所以我们已经到了这样一个地步:从渴望坐在桌子旁到现在已经有了一个位置。这意味着什么?我不知道我们是否真的弄清楚了这意味着什么。假设你在桌子旁有了一个位置,你的公司正在做一些不恰当的事情,现在因为这些活动而产生了反弹,这种反弹波及到了CISO。你该怎么办?我不知道我们是否真的思考过坐在桌子旁意味着什么。我们一直专注于获得这个位置。现在我们拥有了这个位置,接下来的十年将是弄清楚我们如何利用它的时代。
4. 关于美国证券交易委员会要求董事会更好地了解网络安全,我觉得这几乎加速了CISO的参与;你对CISO角色的未来有什么看法?
J Wolfgang Goerlich:我们需要找到新的安全基础。我们现有的许多基础是基于所有权和控制模型。这是我的电脑,这是我的员工。我们以前的许多安全控制措施都是基于较小的已知事物:因为这是我的电脑,我知道我有多少台电脑,因为这是我的应用程序,我知道我们安装了多少。当然,我们在过去的20年里都在努力应对这个问题。但这是我们行业的基本假设。当你看到第三方风险和供应链风险,当你看到我们的雇佣模式已经转向包括承包商、顾问和B2B关系,当你看到供应链变成供应网时,现实情况是,我们现在需要保护那些我们看不到的、我们无法列举的、我们不拥有的、我们无法直接控制的东西。所以今天的CISO必须具备技术能力,我们需要作为技术领导者了解我们的技能;今天的CISO必须建立和维护治理。而我们的治理模式不再仅限于安全团队或IT部门。它已经渗透到整个组织中。正是这种技术所有权、运营技术的人以及谁有权将什么设备带入并为他们的工作做什么的扩散,颠覆了我们的假设。这种扩散使我们所有人都经历了,并在大流行病期间加速,意味着我们需要找到新的基本原则和新的方法来实施安全。这意味着,在很多方面,执法将通过文化而不是通过技术的应用来实现。
5. 说到文化,如何在企业中培养强大的安全文化,从哪里开始?
J Wolfgang Goerlich:部分挑战在于,“什么是文化?”作为CISO,我们需要了解大局——大写的文化——但我们还需要了解驱动它的低层次组件。所以如果你要说文化是一系列支持我们价值观的行为,那么这就更有意义了。在这些行为中,有一部分可能不仅支持我们的价值观,还可能为组织创造额外的风险或降低风险。因此,如果我们采取列举行为的方法,我们可以建立对我们需要培养的行为的直觉,并开始了解我们需要建立哪些关系以实现这些行为。这就是如何在企业中培养强大的安全文化。 悲哀的现实是,我们在安全文化方面的解决方案往往只是教人们不要点击电子邮件。为什么?因为这是一种简单的测试方法。对于导致Log4j漏洞的供应商的行为,我很难进行测试,尤其是当这个供应商与我们相隔三个环节时。与此同时,我给同事发送一封钓鱼邮件,然后问:“他们点击了吗?”这对我来说非常容易。因此,如今在安全文化方面的挑战在于,它往往始于并止于钓鱼层面。我们真的需要扩大这个范围。我给您举一个很好的例子。回到第三方供应链风险,我认识的一位CISO已经将他的供应链管理计划和第三方管理计划建立为一种文化计划。所以这意味着,他花了很多时间了解一线业务经理和决策者如何看待他们的职责,以及他们如何决定使用或不使用哪些软件。他花时间简化这些对话,不是作为一个“取决于”的对话,而是作为一个“他们有这个还是那个”的对话,一个非黑即白的对话,这在传递知识时非常重要。他为这些人员提供了装备,并保持了他们的准备状态,以便在与供应商交谈时,他们可以提出诸如“你们的安全状况如何?你们是否进行多因素认证?你们在这方面、那方面和其他方面做了什么?”等问题。我并不是说要列出一千件事情,而是说要列出最重要的两三件事情,用非黑即白的方式呈现。这使他和他的团队能够让业务做出许多这样的采购决策。而当决策到达他的第三方风险团队时,他不必去说“不,不,不,不要购买这个,拔掉那个或拔掉这个”,这是许多组织所处的地方。当决策到达他的团队时,更多的是,“是的,你的答案通过了我们的治理,我们很好。”这种方法使他的团队能够与更少的供应商进行更深入的合作。因此,这就是我认为CISO正在走向的方向。CISO的角色正在从“我们控制一切,安全是我们的学科”转变为创造一种有效的志愿消防员方法,无论是组织内的志愿者,还是做出正确决策,展示正确行为,降低风险,推动文化向前发展,并在业务背景下这样做。所以它实际上是与组织的发展方向一致的,而不是与组织的发展方向背道而驰。
6. 在建立这种文化以及建立有效的网络安全计划方面,组织应采取哪些最关键的步骤?
J Wolfgang Goerlich:对很多人来说,这始于了解其他人的现实,了解他们的工作,无论是我希望做出关于金融交易的明智决策的运营人员,还是我希望做出关于使用哪种第三方软件的良好决策的产品负责人。这始于真正倾听和理解。 其中一部分是建立安全冠军和倡导者计划。通常,我们认为安全冠军计划是在我们的业务职能范围内代表我们倡导安全。因此,通过安全倡导者冠军的视角了解新安全控制的隐藏利益和障碍。从倾听开始,然后创建倡导和冠军计划。 第三,我们进行风险评估、风险排名和优先级排序。当我们审视这个问题时,不仅要从我们试图保护的角度来看,还要从我们试图防止的角度来看。这就是威胁情报发挥作用的地方,也是像Talos这样的团队发挥作用的地方。我们经常陷入对我们的技术堆栈对我们的组织意味着什么的思考中。我们很难考虑到它从犯罪角度看起来意味着什么。我们将控制放在真正重要的对手角度上的能力非常重要。 第四步是找出哪些行为解决了我们强调的风险,并为这些行为建立指标。我们必须确保行为和指标不受限制。但是像购买正确的软件、正确地吸纳人员、编写安全的代码等行为可能会出现。 遵循这个过程,确保我们的优先事项在不给工作人员增加负担的情况下真正降低风险。这就是我们培养文化的方式。这就是我们加强和深化关系的时候。最终,这就是CISO角色发展的方向,以保护和确保我们的组织安全。Ciso问答。
翻译自https://duo.com/decipher/q-and-a-j-wolfgang-goerlich 如有侵权,请联系删除
